Onlineveranstaltungen per Microsoft Teams
Der Schutz personenbezogener Daten unserer Kunden, Geschäftspartner, Schulungsteilnehmenden und Mitarbeitenden (nachfolgend „Teilnehmende“) bei der Teilnahme an Onlinebesprechungen und -veranstaltungen ist uns ein wichtiges Anliegen. Deshalb verarbeitet der peritia Consulting GmbH personenbezogene Daten in Übereinstimmung mit den anwendbaren Rechtsvorschriften zum Schutz personenbezogener Daten und zur Datensicherheit.
I. Kontaktdaten des Verantwortlichen
Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
peritia Consulting GmbH
Markus Diegelmann, Thomas Diegelmann
Zum Wolfsgraben 5
36088 Hünfeld
Deutschland
Tel.: +49-6652 / 793 878-0
E-Mail:
Website: www.peritia-consult.de
II. Kontaktdaten des (externen) Datenschutzbeauftragten
Der Datenschutzbeauftragte des Verantwortlichen ist:
BerIsDa GmbH
Petersberger Straße 57a
36037 Fulda
Deutschland
Tel.: +49 661 29698090
E-Mail:
Website: www.berisda.de
III. Beschreibung der Verarbeitung
1. Beschreibung und Umfang der Datenverarbeitung
Wir verwenden MS Teams, um Onlinebesprechungen und -veranstaltungen durchzuführen. Für die Durchführung verarbeiten wir folgende Kategorien personenbezogener Daten:
- Angaben zum Benutzer: Vorname + Nachname (nur bei Nutzung als Moderator oder autorisierter Teilnehmer), Anzeigename, Telefonnummer (optional), E-Mail-Adresse, Passwort, Profilbild (optional)
- Meeting-Metadaten: Thema, Beschreibung (optional), verbindungsspezifische Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
- Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername des Standorts, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.
- Bei Aufzeichnungen (nur bei Einwilligung): Bild- und Tondaten in einer MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des allgemeinen Online-Meeting-Chats.
- Text-, Audio- und Videodaten (bei Bereitstellung durch den Benutzer): Sie haben ggf. die Möglichkeit, in einem „Online-Meeting“ die Chat-, Fragen- oder Umfragefunktionen zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im „Online-Meeting“ anzuzeigen und ggf. zu protokollieren.
Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Teams-Applikationen abschalten bzw. stummstellen.
Wir verwenden MS TEAMS, um Onlinebesprechungen und -veranstaltungen durchzuführen. Wenn wir diese aufzeichnen wollen, werden wir Ihnen das vorher transparent mitteilen und eine Einwilligung einholen. Wenn es für die Zwecke der Protokollierung von Ergebnissen einer Onlinebesprechung oder -veranstaltung erforderlich ist, werden die allgemeinen Chatinhalte gespeichert. Dies wird jedoch in der Regel nicht der Fall sein.
Ihre personenbezogenen Daten erhalten wir grundsätzlich direkt von Ihnen oder Ihrem Unternehmen zur Kontaktaufnahme und Vertragserfüllung. Darüber hinaus weitere (technische) Daten werden bei Ihrer Teilnahme an einem Online-Meeting mit Microsoft Teams automatisch von der Plattform erhoben. Sofern Sie sich mit einem bestehenden Microsoft-Konto anmelden, ist Ihnen darüber hinaus die weitere Angabe von Daten möglich.
Die Bereitstellung der personenbezogenen Daten für die Teilnahme an unseren Onlinemeetings und -veranstaltungen ist weder gesetzlich noch vertraglich vorgeschrieben. Die Bereitstellung Ihrer Daten ist für die Teilnahme erforderlich; eine Verpflichtung zur Bereitstellung besteht nicht. Die Nichtbereitstellung kann jedoch dazu führen, dass Sie nicht an unseren Onlinebesprechungen und -veranstaltungen teilnehmen können.
Zur Verarbeitung der von Ihnen überlassenen Daten kommt keine vollautomatisierte Entscheidungsfindung (einschließlich Profiling) gem. Art. 22 DSGVO zum Einsatz.
2. Rechtsgrundlage der Verarbeitung
Rechtsgrundlage für die Verarbeitung der Daten ist das Vorliegen einer Einwilligung des Teilnehmenden gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO. Für eine etwaige Übermittlung in ein nicht-sicheres Drittland erfolgt die Verarbeitung auf Grundlage von Art. 49 Abs. 1 S. 1 lit. a DSGVO.
Zielt der Kontakt auf den Abschluss eines Vertrags ab oder ist dieser zur Vertragserfüllung notwendig, so ist die zusätzliche Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b DSGVO.
Die Verarbeitung sonstiger Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Der Verantwortliche hat ein berechtigtes Interesse an einer sicheren und effizienten Bereitstellung des Konferenzdienst.
3. Zweck der Verarbeitung
Die Verarbeitung Ihrer personenbezogenen Daten dient zur Teilnahme an Onlinebesprechungen und -veranstaltungen des Verantwortlichen.
4. Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit
Ihre personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt oder Sie Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten durch uns widerrufen. Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Sie können den Widerruf per E-Mail oder per Post an den Verantwortlichen übermitteln. Nach dem Entfall des Zweckes oder Ihres Widerrufs bzw. Rückzug Ihrer Einwilligung werden die von Ihnen überlassenen Daten zur Einhaltung gesetzlicher Aufbewahrungspflichten oder aufgrund unserer berechtigten Interessen verarbeitet.
Die Verarbeitung der sonstigen von Ihnen überlassenen Daten erfolgt so lange, wie sie zur Wahrung unserer berechtigten Interessen erforderlich ist. Nach Wegfall unserer berechtigten Interessen werden Ihre Daten gelöscht.
5. Empfänger der Daten
Innerhalb unserer Unternehmens erhalten diejenigen Stellen und Bereiche Zugriff auf Ihre personenbezogenen Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten bzw. der o.g. Zwecke benötigen und die zur Verarbeitung dieser Daten berechtigt sind.
Im Rahmen unserer Leistungserbringung beauftragen wir Auftragsverarbeiter, die zur Erfüllung der vertraglichen Pflichten beitragen. Der Verantwortliche arbeitet mit Dienstleistern, wie beispielsweise Dienstleistern für IT-Wartungsleistungen, Videokonferenztools oder Newsletter Versand, zusammen (sog. Auftragsverarbeiter). Diese Dienstleister werden nur nach Weisung des Verantwortlichen tätig und sind vertraglich auf die Einhaltung der geltenden datenschutzrechtlichen Anforderungen verpflichtet. Dazu schließen wir schriftlich entsprechende Auftragsverarbeitungsverträge mit diesen Dienstleistern ab. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass unsere Dienstleister die personenbezogenen Daten unserer Kunden, Interessenten bzw. Veranstaltungs- und Meetingteilnehmer nur nach unseren Weisungen und unter Einhaltung der datenschutzrechtlichen Bestimmungen (DSGVO, BDSG, usw.) verarbeiten.
Die Datenverarbeitung für Online-Meetings über Microsoft Teams wird ausgelagert und findet auf den Systemen der Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland statt. In Verbindung mit den Volumenlizenzierungen sowie in den Programmvereinbarungen werden mit Microsoft Regelungen zum Datenschutz vorgenommen, um die Sicherheit der Daten zu gewährleisten. Diese Regelungen (Bestimmungen für Onlinedienste (OSTs) und Nachtrag zum Datenschutz für Onlinedienste (DPA)) verwenden unter anderem die EU-Standardvertragsklauseln und weitere Bestimmungen zur DSGVO (https://www.microsoft.com/de-de/licensing/product-licensing/products.aspx).
Sofern Sie sich mit einem bestehenden Microsoft-Konto anmelden, gelten die zwischen Ihnen und Microsoft getroffenen Vereinbarungen.
Der Verantwortlichen übermittelt gegebenenfalls personenbezogene Daten an Gerichte, Aufsichtsbehörden oder Anwaltskanzleien, soweit hierfür nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht oder nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zu der Annahme besteht, dass unsere Mitglieder ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe der Daten haben.
6. Datenübermittlung an Drittländer
Eine Übermittlung der von Ihnen überlassenen Daten an ein Drittland oder eine internationale Organisation ist nicht auszuschließen, da Microsoft ein internationales Unternehmen mit Hauptsitz in den USA ist und dementsprechend ein Zugriff aus den USA oder anderen Drittländern zur Wartung oder Supportdienstleistungen auf die Daten stattfinden kann. Des Weiteren ist es staatlichen Stellen aus den USA möglich legal auf personenbezogene Daten auf den Systemen von Microsoft zuzugreifen, ohne dass wir oder Sie davon erfahren.
Für die USA besteht aktuell kein Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 Abs. 1, 3 DSGVO. Das heißt, dass die EU-Kommission bislang nicht positiv festgestellt hat, dass es dort ein mit den Vorgaben der DSGVO vergleichbares Datenschutzniveau gibt. Darüber hinaus setzt die DSGVO für eine Datenübermittlung in ein Drittland oder an internationale Organisationen sog. „geeignete Garantien“ voraus, Art. 46 Abs. 2, 3 DSGVO. Dies können beispielsweise unternehmensinterne, von einer Aufsichtsbehörde genehmigte Datenschutzvorschriften oder Standarddatenschutzverträge sein. Zusammengefasst besteht in den USA kein mit den Vorgaben der DSGVO vergleichbares Datenschutzniveau.
Risiken einer Übermittlung in ein nicht sicheres Drittland: Personenbezogene Daten könnten möglicherweise über den eigentlichen Zweck der Auftragserfüllung hinaus durch den Anbieter an andere Dritte weitergegeben werden, die die Daten bspw. zu Werbezwecken verwenden. Zudem ist eine effektive Durchsetzung etwaiger Auskunftsrechte gegenüber dem Subunternehmen voraussichtlich nicht möglich. Es besteht ggfls. eine höhere Wahrscheinlichkeit, dass es zu einer nicht korrekten Datenverarbeitung kommen kann, da die technischen und organisatorischen Maßnahmen des Subunternehmens zum Schutze personenbezogener Daten quantitativ und qualitativ nicht vollumfänglich den Anforderungen der DSGVO entsprechen. Es ist zudem möglich, dass staatliche Stellen, ohne dass die betroffene Person davon erfährt, auf die bereitgestellten personenbezogenen Daten zugreifen. Insbesondere bei einer Übermittlung von Daten in die USA ist dieses Risiko gegeben. Dies entspricht im Grundsatz auch den europäischen, gesetzlichen Regelungen, bspw. zum Zweck der Gefahrenabwehr. Jedoch ist die Zulässigkeitsschwelle für derartige Datenverarbeitungen in der Europäischen Union höher als in dem betroffenen Land des Datenempfängers.
- Rechte der betroffenen Person
Wenn wir personenbezogene Daten von Ihnen verarbeiten, haben Sie als Betroffener folgende Rechte gegenüber uns als Verantwortlichen:
- Recht auf Auskunft, Art. 15 DSGVO
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf (unentgeltliche) Auskunft über Ihre erhobenen und gespeicherten personenbezogenen Daten. Dazu gehört u.a. auch die Auskunft über deren Verarbeitungszwecke, deren Herkunft und Empfänger, die Speicherdauer sowie das Bestehen verschiedener Rechte.
- Recht auf Berichtigung, Art. 16 DSGVO
Sie haben gegenüber dem Verantwortlichen ein Recht auf Berichtigung (auch im Sinne einer Vervollständigung) Ihrer Daten, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder für den Zweck der Verarbeitung unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
- Recht auf Löschung, Art. 17 DSGVO
Sie können unter den Bedingungen des Art. 17 DSGVO jederzeit die Löschung Ihrer personenbezogenen Daten verlangen, es sei denn, dass noch Umstände zum Tragen kommen, die den Verantwortlichen berechtigen oder verpflichten, Ihre personenbezogenen Daten weiterhin zu verarbeiten (wie bspw. gesetzliche Aufbewahrungspflichten).
- Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
Bei Vorliegen der gesetzlichen Voraussetzungen können Sie im Umfang von Art. 18 DSGVO eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
- Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Haben Sie uns personenbezogene Daten bereitgestellt, und erfolgt eine automatisierte Verarbeitung auf Grundlage Ihrer Einwilligung oder auf Grundlage eines Vertrags so haben Sie im Umfang von Art. 20 DSGVO ein Recht auf Übertragung der von Ihnen bereitgestellten Daten, sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Die Bereitstellung erfolgt in einem gängigen, maschinenlesbaren Format. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
- Widerspruchsrecht, Art. 21 DSGVO
Sie haben das Recht, im Umfang von Art. 21 DSGVO gegen eine Verarbeitung Widerspruch zu erheben, soweit die Datenverarbeitung zum Zwecke der Direktwerbung oder des Profilings erfolgt. Einer Verarbeitung auf Grund einer Interessenabwägung können Sie unter Angabe von Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
- Recht auf Widerruf Ihrer Einwilligung, Art. 7 Abs. 3 DSGVO
Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Sie können den Widerruf per E-Mail oder per Post an den Verantwortlichen übermitteln.
- Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde für den Datenschutz, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die für uns zuständige Aufsichtsbehörde ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Wenn Sie sich in einem anderen Bundesland oder nicht in Deutschland aufhalten, können Sie sich aber auch an die dortige Datenschutzbehörde wenden.